Di norma, questo è uno sforzo infruttuoso.
È molto raro che un hacker effettui il login dal suo IP di casa o da qualsiasi server direttamente riconducibile a lui. È molto più comune per gli hacker utilizzare obiettivi precedentemente compromessi come punti di partenza per attacchi futuri. Spesso gli aggressori utilizzano anche altri relè (come i buttafuori IRC o le reti pubbliche IRC) per inoltrare i comandi ai server infetti.
Spesso è possibile rintracciare l'attacco sul server da cui è stato lanciato l'attacco, ma questo quasi certamente non apparterrà al perpetratore. In teoria è possibile ottenere i log da quel server e tentare di tracciare l'attacco hop-by-hop. Ma in pratica, questo non succede mai. Spesso gli attacchi attraversano i confini politici rendendo questo tipo di cooperazione effettivamente impossibile. Inoltre, anche se è possibile rintracciare il suo IP originale, molte volte apparterrà a un luogo non direttamente riconducibile a lui, come un coffee shop o un internet cafè.
Tuttavia, se disponi dei registri, può essere utile ottenere l'indirizzo IP dell'ultimo hop principalmente perché puoi quindi analizzare tutti i registri di traffico relativi a quell'IP per vedere come e quando è avvenuto l'attacco e per aiutarti a identificare componenti di attacco aggiuntivi che potresti aver perso.
Per quanto riguarda il modo in cui questi hacker vengono catturati
Molto raramente l'attacco viene effettivamente rintracciato direttamente all'autore del reato, poiché coprire le tue tracce è ragionevolmente semplice. Invece, gli aggressori vengono trovati con altri mezzi. Ad esempio: rintracciare qualcuno che si vanta dell'offensiva su IRC, analizzando l'uso di informazioni rubate, identificando l'account twitter di qualcuno che ha preso credito per l'attacco, o semplice vecchio spionaggio da parte di ex-amici o informatori.